Do not sync krbtgt_AzureAD to Entra ID
Kāpēc tas ir svarīgi
krbtgt_AzureAD konts ir iebūvēts lokālais konts, ko Microsoft Entra Connect izmanto sākotnējās sinhronizācijas laikā. Ja šis konts nejauši tiek sinhronizēts uz Entra ID, tas rada slēptu drošības principālu, ko var ļaunprātīgi izmantot privilēģiju paaugstināšanai vai sānu pārvietošanai. Administratoriem jānodrošina, ka šis konts tiek izslēgts no sinhronizācijas, lai uzturētu tīru un drošu identitāšu vidi.
Ko pārbauda Aether365
Aether365 pārbauda, vai jūsu Entra ID nomniekā eksistē sinhronizēts krbtgt_AzureAD konts. Šī pārbaude ir redzama Aether365 informācijas panelī zem microsoft-365 pakalpojumu kategorijas un tiek atzīmēta kā vidējas nopietnības problēma.
Kā labot
- Piesakieties Microsoft Entra admin center ar vismaz Hybrid Identity Administrator lomu.
- Dodieties uz Identity > Hybrid management > Microsoft Entra Connect un pārskatiet pašreizējo sinhronizācijas konfigurāciju.
- Microsoft Entra Connect serverī atrodiet lokālo
krbtgt_AzureADkontu un izslēdziet to no sinhronizācijas, izmantojot OU filtrēšanu, domēnu filtrēšanu vai uz atribūtiem balstītu filtrēšanu. - Palaidiet pilnu sinhronizācijas ciklu un pārliecinieties, ka
krbtgt_AzureADkonts vairs neparādās Entra ID.
Atbilstība
- Pamatnostādne: Cits
- Atsauces: Nav norādītas
Saistītie resursi
- Microsoft Entra Connect Sync: saprast un pielāgot sinhronizāciju
- Microsoft Entra Connect: filtra sinhronizācijas sfēru